Bekannt wurde der Angriff auf den Dienst für Online-Spiele erst im Zuge der Ermittlungen zur ersten Datenpanne. Die Server für den Dienst Sony Online Entertainment (SOE) seien zwar vorher schon untersucht worden, hieß es bei Sony. Der Angriff sei aber so gut getarnt gewesen, dass er bei der ersten Untersuchung nicht entdeckt worden sei, sondern erst bei einer "tiefgehenden Revision". Die Täter drangen demnach am 16. und 17. April in die SOE-Datenbank ein - also kurz vor dem Angriff auf das PlayStation Network (PSN) und Qriocity.
Ministerin kritisiert Konzerne
Die Eindringlinge verschafften sich den Angaben zufolge die Daten von 12.700 Kreditkarten und 10.700 Bankkonten. Diese stammten aus einer "veralteten" Datenbank von 2007, hieß es. Betroffen sind Kunden aus Deutschland, Österreich, den Niederlanden und Spanien. Der SOE-Dienst wurde sofort vom Netz genommen. Hier können PC-Spieler gegeneinander im Netz antreten, etwa in einem Rollenspiel wie "EverQuest". Zu den entwendeten Daten der SOE-Kunden gehören auch Name, Adresse, E-Mail-Adresse, Geburtsdatum und Telefonnummer.
Bundesverbraucherministerin Aigner erklärte am Dienstag: "Millionen Datensätze von Kunden sind verschwunden, darunter offenbar auch höchst sensible Daten wie Konto- und Kreditkarteninformationen." Vor diesem Hintergrund sei die Informationspolitik des Konzerns völlig inakzeptabel. "Millionen Verbraucher werden mit ihren Fragen allein gelassen." An Stelle einer Hotline müssten sich die Verbraucher "umständlich durchklicken und durchfragen, um Informationen zu erlangen".
Sony hatte sich erst am Wochenende bei den Kunden von PlayStation Network und Qriocity entschuldigt. Bei der zunächst bekanntgewordenen Attacke auf diese beiden Dienste ging es weltweit um 77 Millionen Nutzerkonten, davon 32 Millionen in Europa. Ob bei PlayStation Network und Qriocity auch Kreditkarten-Informationen gestohlen wurden, ist noch nicht eindeutig geklärt.
Spieler reagieren wütend
Sony-Sprecher Patrick Seybold wies im PlayStation-Blog Berichte zurück, wonach die Täter dem Unternehmen angeboten haben sollen, Kreditkartendaten zurückzukaufen. Die Passwörter der Kunden seien zwar nicht verschlüsselt gespeichert worden, aber auch nicht im Klartext entwendet worden - vielmehr seien sie mit einer sogenannten kryptologischen Hash-Funktion verschleiert worden. Dies ist weniger sicher als eine umfassende Verschlüsselung. Über das PlayStation-Netzwerk können Nutzer dieser Spielkonsole miteinander spielen, chatten, Filme ansehen oder Software einkaufen. Unter dem Namen Qriocity vertreibt der Konzern Musik und Videos.
Mit Ungeduld und Wut reagierte die Spieler-Community auf die Ausweitung der Datenpanne bei Sony. Im Mittelpunkt der Kritik steht nicht nur der Technik-Riese, sondern auch der unbekannte Angreifer, der die verschiedenen Dienste lahmlegt.